كشف باحثون في مجال الأمن السيبراني عن برمجية تجسس جديدة تستهدف أجهزة أندرويد تُعرف باسم PlayPraetor، تمكنت من إصابة أكثر من 11,000 جهاز، وتركزت الإصابات بشكل أساسي في البرتغال وإسبانيا وفرنسا والمغرب وبيرو وهونغ كونغ.
وأوضح باحثو شركة Cleafy أن نمو شبكة هذه البرمجية الخبيثة يتجاوز حالياً ألفي إصابة جديدة أسبوعياً، نتيجة لحملات استهداف مكثفة لمستخدمي اللغة الإسبانية والفرنسية، ما يعكس تحولاً استراتيجياً في قاعدة الضحايا المعتادة للمهاجمين.
قدرات متقدمة وتحكم عن بُعد
تعتمد برمجية PlayPraetor على خدمات الوصول (Accessibility Services) للتحكم الكامل عن بُعد في الأجهزة المصابة. وتتميز بقدرتها على عرض شاشات تسجيل دخول زائفة فوق أكثر من 200 تطبيق مصرفي ومحافظ للعملات المشفرة، بهدف سرقة بيانات الدخول والاستيلاء على الحسابات المالية للمستخدمين.
وقد وثّقت شركة CTM360 ظهور البرمجية لأول مرة في مارس 2025، مشيرةً إلى استخدامها آلاف الصفحات المزيفة التي تحاكي متجر Google Play في حملة احتيال مترابطة واسعة النطاق، لجمع بيانات الاعتماد المصرفية وتسجيل ما يُكتب على لوحة المفاتيح ومراقبة أنشطة الحافظة.
توزيع واسع عبر الإعلانات والرسائل النصية
تُرسل الروابط المؤدية إلى الصفحات المزيفة لمتجر Google Play من خلال إعلانات مموّلة على منصات ميتا، إضافة إلى رسائل نصية قصيرة تستهدف جمهوراً واسعاً. وقد أكدت CTM360 أن هذه الأساليب تنطوي على خداع المستخدمين للنقر على روابط تقودهم إلى تحميل ملفات APK خبيثة من نطاقات مزورة.
خمسة إصدارات مختلفة وخطورة متزايدة
تنقسم برمجية PlayPraetor إلى خمسة إصدارات تخدم وظائف مختلفة:
-
PWA و Phish: لإنشاء تطبيقات خادعة بواجهة ويب
-
Phantom: لاستغلال خدمات الوصول وتنفيذ هجمات احتيالية على الجهاز
-
Veil: لخداع الضحايا عبر رموز دعوة مزيفة ومنتجات احتيالية
-
EagleSpy و SpyNote (RAT): لمنح المهاجم سيطرة كاملة عن بُعد
وقد بيّنت شركة Cleafy أن إصدار Phantom يستخدم على نحو واسع في عمليات الاحتيال المباشر على الجهاز، ويُديره مشغّلان رئيسيان يتحكمان في نحو 60% من الشبكة، أي حوالي 4,500 جهاز، ويتركزان بشكل خاص على المستخدمين الناطقين بالبرتغالية.
اتصالات مباشرة وسرقة آنية للمعلومات
بعد التثبيت، يتصل البرنامج الخبيث بخادم القيادة والتحكم باستخدام بروتوكولات HTTP وHTTPS، ويعتمد على اتصال WebSocket لإنشاء قناة تواصل ثنائية الاتجاه، إلى جانب استخدام بروتوكول RTMP لبث حي مباشر لشاشة الجهاز المصاب. وتشير تطورات أوامر التحكم إلى أن البرمجية قيد التطوير النشط، مع تركيز متزايد على المستخدمين الناطقين بالإسبانية والعربية.
ويوفر لوح القيادة والتحكم الصيني الخاص بالبرمجية أدوات تتيح للمهاجمين التفاعل المباشر مع الأجهزة المصابة، بالإضافة إلى إنشاء صفحات خبيثة مخصصة تحاكي متجر Google Play على الحواسيب والهواتف المحمولة.
بنية خبيثة متعددة المستويات
يعتمد نجاح حملة PlayPraetor على نموذج خدمي يعتمد على عدة شركاء (MaaS)، ما يتيح تنفيذ حملات مستهدفة وواسعة النطاق. وتعد هذه البرمجية جزءاً من موجة برمجيات خبيثة مصدرها جهات تهديد ناطقة بالصينية، ومن أبرزها أيضاً برمجيتا ToxicPanda وSuperCard X.
تطوّر مستمر لبرمجية ToxicPanda
وفقاً لبيانات شركة Bitsight، فقد أصابت برمجية ToxicPanda حوالي 3,000 جهاز أندرويد في البرتغال، مع انتشار ملحوظ في إسبانيا واليونان والمغرب وبيرو. وتُستخدم منظومة توزيع الزيارات (TDS) المعروفة باسم TAG-1241 لنشر البرمجية، من خلال خدع مثل تحديثات مزيفة لمتصفح Chrome تعتمد على تقنية ClickFix.
وقد تم تعزيز الإصدار الأخير من ToxicPanda بخوارزمية توليد نطاقات (DGA) لزيادة صمود البنية التحتية في حال تعرضها للتعطيل، مع أوامر إضافية تسمح بتحديد نطاق بديل لخادم القيادة والتحكم وتحسين التحكم في واجهات الاستخدام المزورة.
برمجية DoubleTrouble: مستوى جديد من التهديد
في سياق متصل، كشفت شركة Zimperium عن برمجية DoubleTrouble، وهي حصان طروادة مصرفي متطور لأجهزة أندرويد تجاوزت مرحلة الهجمات التقليدية عبر الواجهات المزيفة. حيث باتت تتيح تسجيل الشاشة وتسجيل ضغطات المفاتيح وتنفيذ أوامر متعددة لسحب البيانات والسيطرة التامة على الجهاز.
وتعتمد DoubleTrouble كذلك على خدمات الوصول في تنفيذ أنشطتها الاحتيالية، وتنتشر من خلال مواقع وهمية تستضيف عينات البرمجية الخبيثة ضمن قنوات Discord. ومن أبرز وظائفها الجديدة:
-
عرض واجهات مزورة لسرقة رموز PIN أو أنماط الفتح
-
تسجيل الشاشة بشكل شامل
-
حجب تشغيل تطبيقات محددة
-
تسجيل ضغطات المفاتيح بشكل متقدم
